Une attaque MITM décortiquée / Pour se protéger !

Roy'S-Tr@que · 2012-02-06 14:16:05

SECURE POST Data (www.paypal.com):
login_cmd=&login_params=&login_email=adams %40live.fr&login_password=ddrp345g&target_page
=0&submit.x=Connectez-vous&form_charset=UTF-8&
browser_name=Firefox&browser_version=6&operating_system=Windows&flow_name=
p%2Fgen%2Flogin&bp_mid=v%3D1%3Ba1%3Dna%7Ea2%3
Dna%7Ea3%3Dna%7Ea4%3DMozilla

Dernière modification par Roy'S-Tr@que (2012-05-22 12:32:47)

rose · 2012-03-30 19:45:45

zut, j'ai été déconnectée pendant que je tapais mon message, du coup j'ai tout perdu yikes yikes yikes

Je disais que le tuto était intéressant smile wink wink
Mais aussi que je risquais de me tromper car je n'étais qu'une amateur dans la sécurité informatique et que je ne voyais pas en quoi un vpn immunisait d'une mitm. J'ai lu que la seule manière de se protéger d'un mitm c'est d'utiliser des tables statiques. Je me trompe ou il y a un détail dans les protocoles vpn qui m'a echaper ? ? ?

David · 2012-03-30 22:37:28

Bonsoir ...

Pour que SSLStrip fonctionne, il faut que l'attaquant soit sur votre Gateway (votre Passerelle) ... si vous êtes à votre domicile, c'est votre Box ... si vous êtes sur un réseau public, il faut qu'il ait accès à la passerelle du réseau sur lequel vous vous trouvez. Donc à l'extérieur, ok pour le VPN, car chez vous, il y a peu de soucis à avoir.

Pour le MITM, pareil, il faut que l'attaquant soit sur votre intranet. Si vous êtes chez vous, en filaire, c'est peu probable, et en Wifi bah ... sans SSLStrip, il n'arrivera pas à grand chose.

Il y a aussi le cas où l'attaquant est sur le site distant (le serveur) ... mais là, VPN ou pas, vous vous ferez avoir et n'y pourrez rien (et même si votre URL est bien en HTTP Sécurisé).

Comme avec les virus, une bonne sécurité passe avant tout par une utilisation réfléchi de l'outil (informatique dans notre cas).
Personne :
- ne traversera une autoroute (déjà rien que cela est significatif mais si vous le faites) avec le balladeur à fond sur les oreille et en regardant les oiseaux virvolter dans le ciel ... ça craint !
- ne fera de la soudure à l'arc sans protéger ses yeux ... sauf s'il veut perdre la vue ou avoir des rondelles de pomme de terre sur les yeux durant plusieurs jours !
- n'arrachera une prise électrique défectueuse pour relier directement les fils à la main ... sauf s'il veut s'illuminer et fumer un court instant !
- n'enlevera un déchet dans le bloc d'une tondeuse à gazon, la lame d'un taille haie ou la chaine d'une tronçonneuse sans arrêter l'outil ... bah là, je préfère les DVD, c'st moins Gore !
- ...
bref, en toute circonstance, lorsque l'on aborde un domaine inconnu, il vaut mieux mettre en pause et s'informer.

Dans ce cas, être vigilent sur l'URL, bien vérifier que vous être en HTTP Sécurisé (seulement si l'attaquant est sur votre intranet) ... et non, le VPN n'est pas le remède à tout.

Cordialement, David.

rose · 2012-04-02 15:57:13

Salut David et merci de ta réponse smile smile smile

Je répète encore une fois que je ne suis qu'une étudiante en sécurité, mais d'après mes connaissances, tu as tord quand tu dis qu'une passerelle doit être compromise pour que l'attaque fonctionne. Tu sais, c'est un peu le principe de l'attaque mitm, au lieu de compromettre un noeud du réseau, tu crée un noeud par lequel tu fais transiter artificiellement le traffic. Tu peux ensuite modifié les paquets interceptés, ce qui offre des possibilités que ne permettrait pas un simple monitoring du traffic.

+-----+                 +-----+
|     |                 |     |
|  A  |                 |  B  |
|     1<--------------->2     |
+-----+                 +-----+
Situation naturelle d'un réseau

+-----+                 +-----+
|     |                 |     |
|  A  |                 |  B  |
|     1<               >2     |
+-----+ \             / +-----+
         \           /
          \ +-----+ /
           >2     1<
            |  C  |
            |     |
            +-----+
Situation ou C se fait passer pour B auprès de A et pour A auprès de B, grâce à l'ARP poisoning.

C sert en fait de proxy transparent, mais sans que A ou B l'ait demandé. Cet impersonnification peut avoir lieu sur n'importe quel segment qui relie A à B, mais bien évidemment, plus il sera proche de A ou de B, plus il permettra de cibler sa victime :@ :@ :@

Quand tu dis qu'il doit être sur l'intranet de la victime, ce n'est pas tout à fait exac non plus, puisque l'attaque peut avoir lieu sur n'importe quel segment de la route qui va de A à B. Si C impersonnifie les passerelles d'entrée et de sortie du segment, il peut modifier tous les paquets qui passent par lui. La seule restriction, c'est que les box qu'il impersonnifient soit sur le même segment que lui.

Après si comme tu le dis, l'attaquant à pris le contrôle du serveur, ce n'est plus une attaque mitm dont que l'on parle wink wink wink

Ensuite, quand tu parles de se protéger, j'ai rien compris XD XD XD
Apparemment, sslstrip simule une connexion https donc il est possible de repérer ce petit détail ... Cependant, il existe d'autres outils pour exploiter une impersonnification et il est peu probable de repérer/prévenir une mitm si on se situe à l'extrémité de la chaîne (A ou B). Mais comme mes connaissances sont vraiment loin d'être complètes, il se peut que j'ai loupé quelquechose et je suis là pour apprendre wink wink wink

Dernière modification par rose (2012-04-02 15:58:51)

David · 2012-04-02 16:19:14

Oui, mais l'ARP (Poisoning) se base sur les adresses MAC et les adresses MAC ne passent pas les routeurs, donc il faut que l'attaquant soit dans votre intranet (car le premier routeur de votre réseau vers l'internet est votre Box).

Keanjyto · 2012-04-08 03:16:11

rose · 2012-04-10 16:30:20

Bonjour smile smile smile

Je commence par préciser qu'étudiante était un peu fort et que je plus curieuse que véritablement étudiante (avec diplôme à la clé).
Vous avez raison car j'avais abusivement étendu le réseau ethernet au delà de la box -_-' -_-' -_-'

Mais les adresses MAC ne sont pas utilisées que dans le protocole ethernet en fait elles sont utilisées par les protocoles de la famille IEEE 802. Est ce qu'il y a pas de segment "au delà de ma box" qui utilise ces standards ? J'ai épluché les pages de Wikipedia en prenant comme point d'entrée "network layer 2" mais les lieens ne m'ont guere renseignés. Par exemple qu'elle standard relie ma box à sa passerelle ? Etant donné que la couche 2 du modèle OSI impose que chaque noeud soit capable d'être identifié sur le segment, comment fonctionne cette identification sur les autres standards ? ? ?
Dans qu'elle direction pointer mon navigateur pour m'approcher de la réponse ? ? ?

Je continue à chercher en fait wink wink wink

Dernière modification par rose (2012-04-10 16:31:07)

Keanjyto · 2012-04-11 03:01:04

Je ne comprends pas la question. Tout les segments utilisent ces standards, plus précisément chaque segment utilise une couche si c'est ce que tu voulais savoir. Tout les nœuds (routeurs, serveurs, etc.) utilisent chacune des 7 couches du modèle OSI qui sont indispensables pour la communications entre machines sans que l'utilisateur n'ait à faire de manipulation techniques pour contacter une ressource sur le Net. N'hésites pas à me dire si j'ai répondu à côté (c'est probable tongue ).

rose · 2012-04-13 19:18:04

Bonjour tout le monde smile smile smile

Et re Keanjyto big_smile :d

Non ma question n'est pas celle là. Ce que je disais c'est qu'une mitm par ARP poisoning n'est pas obligé de se faire sur le réseau local (192.168.x.x) d'Alice (la cible) elle peut avoir lieu entre la box d'Alice et son ISP puisque cette communication utilise le protocole DSL qui repose sur ARP pour la résolution des adresses au niveau du layer 2... C'est en tout cas ce que j'ai compris de mes lectures de ces derniers jours sur le sujet: ARP est utilisé par plusieurs protocoles réseau au niveau du layer 2 pour le modèle OSI et au link layer poru la suite de protocole IP. Il y a le protocole ATM le protocole DSL les IEEE 802 (dont ethernet) etc...

Donc tant que l'impersonnification a lieu entre des noeuds sur le même segment réseau et que ce segment utilise ARP pour faire le lien entre le layer 3 et le layer 2 dans le modèle OSI la mitm peut avoir lieu n'importe ou sur le chemin qui relie Alice et Bob. Il y a des endroits ou ce n'est pas possible en fait et c'est ce que je voulais savoir : quels protocoles n'utilisent pas ARP et à quels endroits du chemin qui relie Bob et Alice ils sont utilisés ? ? ? Il y a aussi la possibilité que je me trompe complètement et je suis preneuse de tout lien pour corriger cette erreur.

Il est même plus avantageux pour un attaquant de faire sa mitm après la box d'Alice (entre la box et l'ISP) plutôt que de la faire avant (entre Alice et sa box) car c'est tout le traffic sortant d'Alice qui peut être écouté. Si Alice change d'ordi ou si elle utilise plusieurs ordis en même temps l'attaquant sera capable d'écouter tous ces échanges riches d'informations ! ! !

L'avantage de l'attaque que tu décris Keanjyto est quelle impersonnifie directement Bob et Alice sans se soucier des segments qui les relient. Elle est plus restreinte aussi wink wink wink

Keanjyto · 2012-04-14 15:17:40

rose · 2012-04-14 15:30:54

David · 2012-04-14 15:41:28

rose · 2012-04-14 16:06:38

Forum Freedom-IP VPN

Annonce

#1 2012-02-06 14:16:05

Une attaque MITM décortiquée / Pour se protéger !

#2 2012-03-30 19:45:45

Re : Une attaque MITM décortiquée / Pour se protéger !

#3 2012-03-30 22:37:28

Re : Une attaque MITM décortiquée / Pour se protéger !

#4 2012-04-02 15:57:13

Re : Une attaque MITM décortiquée / Pour se protéger !

#5 2012-04-02 16:19:14

Re : Une attaque MITM décortiquée / Pour se protéger !

#6 2012-04-08 03:16:11

Re : Une attaque MITM décortiquée / Pour se protéger !

#7 2012-04-10 16:30:20

Re : Une attaque MITM décortiquée / Pour se protéger !

#8 2012-04-11 03:01:04

Re : Une attaque MITM décortiquée / Pour se protéger !

#9 2012-04-13 19:18:04

Re : Une attaque MITM décortiquée / Pour se protéger !

#10 2012-04-14 15:17:40

Re : Une attaque MITM décortiquée / Pour se protéger !

#11 2012-04-14 15:30:54

Re : Une attaque MITM décortiquée / Pour se protéger !

#12 2012-04-14 15:41:28

Re : Une attaque MITM décortiquée / Pour se protéger !

#13 2012-04-14 16:06:38

Re : Une attaque MITM décortiquée / Pour se protéger !

Pied de page des forums